Ärende 9
Inledning
Att genomföra konsekvensbedömningar är den personuppgiftsansvariges ansvar, ibland går det att få stöd och hjälp av personuppgiftsbiträdet som ofta besitter kompetens för att hjälpa till med det. Även Dataskyddsombudet kan och bör ge råd om när en konsekvensbedömning avseende dataskydd ska göras samt vara delaktig i genomförandet av den. Det är viktigt att skilja mellan en risk- och sårbarhetsanalys och konsekvensbedömning där den senare är ett krav om det finns hög risk för människors fri- och rättigheter. En risk- och sårbarhetsanalys hjälper till att bedöma om så är fallet.
G.1 Konsekvensbedömningar och förhandssamråd
Konsekvensbedömning handlar om att identifiera och förebygga risker innan de uppkommer.
Vid behandling av personuppgifter som kan leda till en hög risk för de registrerade måste organisationen göra en så kallad konsekvensbedömning avseende dataskydd. I korthet handlar det om att vara förutseende, förebygga risker och därmed skydda människors fri- och rättigheter.
Målet är att minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk.
Om konsekvensbedömningar
Syftet med konsekvensbedömning är att förebygga risker innan de uppkommer. Det kan behövas göra en konsekvensbedömning:
innan påbörjan av en personuppgiftsbehandling
om risken med en pågående behandling ändras
för pågående behandlingar om det inte har gjorts tidigare.
Konsekvensbedömningen är en process för att
ta reda på vilka risker som finns med att behandla personuppgifter
ta fram rutiner och åtgärder för att bemöta dessa risker
visa att man uppfyller dataskyddsförordningens krav.
En konsekvensanalys ska genomföras när en behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Det bör i första steget tas reda på genom att bedöma vilka personuppgifter det handlar om och/eller genomföra en risk-och sårbarhetsanalys.
Börja med en risk- och sårbarhetsanalys
Ni ska alltid göra en konsekvensbedömning, om er behandling av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter. Men alla måste inte alltid genomföra en regelrätt konsekvensbedömning:
1. Analysera vilka risker behandlingen av personuppgifter kan innebära och föreslå lämpliga säkerhetsåtgärder. Genomför en risk- och sårbarhetsanalys. Dokumentera resultatet, så att det går att visa att förordningen följs.
Ärende 9
Exempel på kontrollfrågor:
Är det en behandling av personuppgifter
Registreras några integritetskänsliga personuppgifter
Finns det någon lagring eller åtkomst från tredjeland
Kommuniceras personuppgifter via öppna nätverk Varför konsekvensbedömning?
En konsekvensbedömning är en pågående process som behöver omprövas och uppdateras kontinuerligt.
Ett krav i vissa fall
Om en behandling av personuppgifter sannolikt leder till hög risk för de registrerades fri- och rättigheter ska alltid genomföras en konsekvensbedömning. Den som bryter mot skyldigheten att göra en konsekvensbedömning riskerar att drabbas av en sanktionsavgift.
Konsekvensbedömning som beslutsunderlag
Den personuppgiftsansvarige kan med fördel göra en konsekvensbedömning även för sådana personuppgiftsbehandlingar som medför en lägre risk. En konsekvensbedömning kan ge
organisationen förståelse för personuppgiftsbehandlingens konsekvenser och risker och vara till hjälp när det ska avgöras vilka säkerhetsåtgärder som ska vidtas eller vilka tekniska lösningar som ska väljas.
Konsekvensbedömning för att visa att organisationen följer dataskyddsförordningen Konsekvensbedömningar är inte bara till hjälp för att uppfylla kraven i dataskyddsförordningen.
De är också ett sätt att visa tillsynsmyndigheten att förordningen följs.
En pågående process för integritetens skull
Konsekvensbedömningen kan ses som en pågående process som behöver omprövas och
uppdateras kontinuerligt. Då blir det enklare att uppmärksamma och införliva integritetsaspekten i personuppgiftsbehandlingens alla delar.
Vem måste göra en konsekvensbedömning?
Utgå från risk- och sårbarhetsanalysen. Om behandlingen av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska det alltid göras en
konsekvensbedömning. För att veta om ni måste göra en konsekvensbedömning måste ni alltså först göra en riskanalys.
Att bedöma risk
Ärende 9
Risken som uppkommer vid era personuppgiftsbehandlingar måste bedömas kontinuerligt.
Förutom risken för den enskildes personliga integritet ska även risken när det gäller andra grundläggande rättigheter bedömas, till exempel:
yttrandefrihet
tankefrihet
fri rörlighet
förbud mot diskriminering
rätt till frihet, samvete och religion.
Exempel på behandlingar som sannolikt leder till hög risk
Dataskyddsförordningen ger tre exempel på behandlingar som sannolikt leder till hög risk:
När det används automatiskt beslutsfattande som grundar sig på en systematisk och omfattande bedömning av människors personliga aspekter, till exempel profilering.
När det behandlas uppgifter om lagöverträdelser eller känsliga personuppgifter, till exempel uppgifter om hälsa, religiös tro, politisk uppfattning eller etniskt ursprung, i stor omfattning.
När det sker systematiskt övervakning på en allmän plats i stor omfattning, genom till exempel kameraövervakning.
Vilka måste göra en konsekvensbedömning?
Om personuppgiftsbehandling faller in under någon av nedanstående kategorier kan det innebära att det behöver göras en konsekvensbedömning.
utvärderar eller poängsätter människor,
behandlar personuppgifter i syfte att fatta automatiska beslut som har rättsliga följder eller liknande betydande följder för den registrerade
systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer
behandlar känsliga personuppgifter eller uppgifter som är mycket personliga, till exempel ett sjukhus som lagrar patientjournaler och liknande
behandlar personuppgifter i stor omfattning
kombinerar personuppgifter från två eller flera behandlingar på ett sätt som den registrerade inte förväntar sig, till exempel när man samkör register
behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, exempelvis barn, anställda, asylsökande, äldre och patienter
använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (Internet of things, IoT)
behandlar personuppgifter på ett sätt som hindrar de registrerade från att få tillgång till en tjänst eller ingå ett avtal, till exempel ett registerutdrag från Polis
Ärende 9
Om det redan har gjorts en konsekvensbedömning för en behandling som är mycket lik den planerade behandlingen behöver ni inte göra en ny konsekvensbedömning. Då kan resultatet från den tidigare konsekvensbedömningen användas
En konsekvensbedömning behöver inte heller göras om den planerade
personuppgiftsbehandlingen inte sannolikt leder till en hög risk för enskildas fri- och rättigheter.